El código fuente de la unidad lógica a bordo (OLU) de Mercedes-Benz se filtra en línea



Imagen: Daimler El código fuente de los componentes de "automóviles inteligentes" instalados en las furgonetas Mercedez-Benz se filtró en línea durante el fin de semana, según ha podido saber ZDNet. La filtración se produjo después de que Till Kottmann, un ingeniero de software con sede en Suiza, descubriera un portal web Git perteneciente a Daimler AG, la empresa automotriz alemana detrás de la marca de automóviles Mercedes-Benz. Kottmann le dijo a ZDNet que pudo registrar una cuenta en el portal de alojamiento de códigos de Daimler y luego descargar más de 580 repositorios Git que contienen el código fuente de las unidades lógicas (OLU) integradas instaladas en las furgonetas Mercedez.
Según el sitio web de Daimler, la OLU es un componente que se encuentra entre el hardware y el software del automóvil y "conecta los vehículos a la nube". Daimler dice que la OLU "simplifica el acceso técnico y la administración de los datos del vehículo en vivo" y permite a los desarrolladores externos crear aplicaciones que recuperan datos de las camionetas Mercedes. Estas aplicaciones generalmente se emplean para funciones como rastrear camionetas mientras se encuentra en la carretera, rastrear el estado interno de una camioneta o para congelar camionetas en caso de robo. Kottmann le dijo a ZDNet en una entrevista que encontró que el servidor GitLab de Daimler usaba algo tan simple como Google Dorks (consultas especializadas de búsqueda de Google). GitLab es un paquete de software basado en la web que las empresas utilizan para centralizar el trabajo en los repositorios de Git. Git es un software especializado para realizar un seguimiento de los cambios en el código fuente y permite a los equipos de ingeniería de varias personas escribir código y luego sincronizarlo con un servidor central, en este caso, el portal web basado en GitLab de Daimler.
"A menudo busco instancias interesantes de GitLab, principalmente con simples Google Dorks, cuando estoy aburrido, y me sigue sorprendiendo lo poco que parece pensar en la configuración de seguridad", dijo Kottmann a ZDNet. "Honestamente, fue un hallazgo muy afortunado mientras revisaba algunas marcas que no había verificado antes con la esperanza de encontrarme como pequeños contratistas o algo así". Kottmann dice que Daimler no pudo implementar un proceso de confirmación de cuenta, lo que le permitió registrar una cuenta en el servidor oficial GitLab de la compañía utilizando un correo electrónico corporativo Daimler inexistente.
El investigador dice que descargó más de 580 repositorios Git del servidor de la compañía, que puso a disposición del público durante el fin de semana, cargando los archivos en varios lugares, como el servicio de alojamiento de archivos MEGA, el Archivo de Internet y en su propio servidor GitLab. Imagen: ZDNet Imagen: ZDNet ZDNet ha revisado algunos, no todos, de los repositorios filtrados de Git. Ninguno de los archivos que vimos incluía una licencia de código abierto, lo que sugiere que se trataba de información patentada que no debía hacerse pública.
Los proyectos filtrados incluyeron el código fuente de los componentes OLU de las furgonetas Mercedes, pero también imágenes de Raspberry Pi, imágenes de servidor, componentes internos de Daimler para administrar OLU remotas, documentación interna, muestras de código y más. Si bien la filtración parecía ser inofensiva al principio, la firma de inteligencia de amenazas Under the Breach, que también revisó los datos, le dijo a ZDNet que descubrieron contraseñas y tokens API para los sistemas internos de Daimler. Estas contraseñas y tokens de acceso, en las manos equivocadas, podrían usarse para planificar y montar futuras intrusiones contra la nube y la red interna de Daimler.
Después de que ZDNet y Under the Breach se comunicaran hoy con Daimler, la compañía retiró el servidor GitLab de donde Kottmann descargó los datos. Un portavoz de Daimler no devolvió una solicitud formal de comentarios. Kottmann le dijo a ZDNet que tiene la intención de dejar el código fuente de Daimler en línea hasta que la compañía se comunique para solicitar que lo elimine.
Sin embargo, quedan algunas preguntas sobre la legalidad de las acciones de Kottmann, ya que no intentó notificar a la compañía antes de publicar su código fuente en línea durante el fin de semana. Por otro lado, el servidor GitLab permitió a cualquiera registrar una cuenta, lo que algunos podrían interpretar como un sistema abierto. Además, el código fuente que ZDNet revisó hoy no contenía advertencias de que se trataba de tecnología patentada.
pags VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı